Authentifizierung

Neben vielen anderen großen Anbietern unterstützt auch Paypal die 2-Faktor Authentifizierung. Bis vor kurzem hatte ich noch die Variante per SMS genutzt, war aber mehr als unzufrieden damit. Zum einen kommen die SMS teilweise sehr spät an und sind somit ungültig (teilweise bis zu 10 Min verspätet), zum anderen – und das ist besonders ungünstig – war es mir nicht mehr möglich, per mobiler Paypal Website zu bezahlen. Es wurde zwar immer nach einem Sicherheitsschlüssel gefragt, jedoch hatte ich nicht den Button, um mir die SMS mit dem Code zuzusenden. Man fragt sich an der Stelle, ob das niemand bei Paypal mal getestet hat.

Naja egal – nachdem ich mich nun per Mail beim Support darüber beschwert habe, wurde mir eine weitere Alternative, die nirgendwo auf der Paypal Seite dokumentiert ist, genannt: die App VIP Access von Symantec (gibt es für Android und IOS). Die App ist nichts anderes als ein RSA Token Generator, der alle 30 Sekunden einen neuen Sicherheitsschlüssel generiert. Und so richtet ihr das Teil ein:

bei Paypal einloggen
“Mein Profil” -> “Einstellungen” und dann bei “Sicherheitsschlüssel” auf aktualisieren klicken
wichtig: solltet ihr bereits den SMS Schlüssel aktiviert haben, dann muss dieser DEAKTIVIERT werden!
nun klickt ihr in der Übersicht über eure Sicherheitsschlüssel unten auf “Kostenlos bestellen: Richten Sie Ihren SMS-Sicherheitsschlüssel mit nur wenigen Klicks ein”
auf der anschließenden Seite klickt ihr auf “ABBRECHEN”!
Nun seht ihr 3 kleine Fenster mit jeweils einem Button drin und wählt da ganz rechts das Kästchen mit dem Button “aktivieren”
Bei Seriennummer tragt ihr die “Credential ID” eurer VIP Access App ein, in die beiden Code Felder jeweils einen Sicherheitscode. Sobald ihr den ersten Code eingegeben habt, wartet ihr 30 Sekunden und tragt dann in das dritte Feld diesen weiteren Code ein. Anschließend bestätigt ihr das ganze mit dem “aktivieren” Button
Wichtig: falls ihr das ganze partout nicht aktiviert bekommt: deinstalliert die App von eurem Handy und installiert sie neu. Damit erhaltet ihr eine neue “Credential ID”. Bei mir hat das neu Installieren geholfen und meine Aktivierung wurde angenommen.

In der sehr guten Symfony2 Doku gibt es natürlich trotzdem die eine oder andere Falltür – ein gutes Beispiel hierfür ist der so halb dokumentierte Fall, dass man User mittels Datenbank anbinden und ihre Passwörter mittels sha-512 encoden möchte.

In der entsprechenden Doku wird im User Model für die Property $password eine Stringlänge von 40 Zeichen angegeben. Das passt auch ganz gut für MD5 oder sha1, aber eben nicht für sha-512. Die Folge: man bekommt nur ein läppisches “Bad Credentials” präsentiert, weil das Passwort in der DB abgeschnitten wird.

Die Zeichenlänge für sha-512 sollte aber deutlich länger sein – 128 ist der sinnvolle Wert. Wer das warum wissen möchte:

512 bits / 8 bits pro byte * 2 hex digits pro byte = 128 hex digits

Tag: Authentifizierung

[Quicktip] Paypal mit 2-Faktor Authentifizierung nutzen